Windows Secure Boot-Zertifikate

[oli88]

https://github.com/cjee21/Check-UEFISecureBootVariables
Wie hast Du dann die Abfrage gestartet?
Über PowerShell als Administrator? Und was hast Du dann eingegeben, sodass du diese Auswertung erhalten hast?

[Tante Google]

[tramp20]

PS als Admin, und dann die \Check-UEFISecureBootVariables-main\Show UEFI PK, KEK, DB and DBX.cmd gestartet.

[DK2000]

Gut, wenn das geklappt hat. Bleibt natürlich die Frage offen, warum das bei euch nicht automatisch geschieht. Ist jetzt die Frage, ob der Rest, welcher eigentlich schon ausgerollt wird, auch nicht ausgeführt wurde:

Aktualisieren des Start-Managers

Code: Alles auswählen

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Überrüfen:

Code: Alles auswählen

mountvol s: /s
copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi
mountvol s: /d

Unter Eigenschaften der Datei bootmgfw_2023.efi unter Digitale Signaturen sollte im Zertifizierungspfad das CA 2023 erscheinen.

Secure Version Number (SVN) Update für Selbstsperrung des Zertifikates

Code: Alles auswählen

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x200 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Das lässt sich nicht überprüfen.

WindowsUEFICA2023Capable sollte jetzt "2" enthalten:

“Windows UEFI CA 2023” certificate is in the DB and the system is starting from the 2023 signed boot manager."

Setzt aber bis hier hin voraus, dass jeweils das aktuelle Sicherheitsupdate vom Patchday installiert wurde. Das hält dann automatisch diese Schritte aktuell.

Und wichtig halt, in der Ereignisanzeige nach Einträgen der Quelle TPM-WMI Ausschau halten. Warnungen und Fehler sollten beachtet werden.

Alle weiteren Zertifikate und die Sperrung dieser älteren Zertifikate erfolgten dann erst später in 2026. Hier würde ich noch nicht weiter machen. Man könnte jetzt auch schon das "Windows Production CA 2011" sperren (das geschieht noch nicht automatisch), aber das hat dann die Folge, das derzeit keine original Microsoft ISOs mehr booten würden. Microsoft hat nach wie vor die Bootdateien der ISOs hier nicht aktualisiert.

Aber bleibt dann halt die Frage offen, warum das bei euch nicht automatisch geschehen ist. Selbst auf dem Tablet (Windows 11 Home, erst 24H2, jetzt 25H2), wo ich da noch nie diese Schritte Manuel ausgeführt habe, wurde das CA 2023 im UEFI installiert und der Bootmanager der Intallation aktualisiert. Auch in den VMs (neu angelegt oder mach Löschen der nvram Datei) ist spätestens nach dem zweiten Neustart das CA 2023 im UEFI eingetragen. Irgendetwas scheint da den automatischen Prozess zu unterbinden, gewollt oder ungewollt.

[tramp20]

Solche Anweisungen lobe ich mir: perfekt.

1. Codefenster: ok
2. Codefenster: bootmgfw_2023.efi hat unter Digitale Signaturen im Zertifizierungspfad das CA 2023
3. Codefenster: WindowsUEFICA2023Capable hat jetzt "2"

Quelle TPM-WMI: nur eine Warnung (Neustart erforderlich)


Das Notebook hatte ich vor etwa 4 Wochen neu gekauft und Windows 11 pro selbst installiert.

[DK2000]

Danke für die Rückmeldung. Ja, das sieht doch dann gut aus. CA 2023 im UEFI und der aktualisierte Boote Manager passen dazu wird verwendet. Keine Fehler seitens der TPM-WMI. Also alles gut.

Warum das jetzt nicht so wie bei mir automatisch geschah, kann ich nicht sagen. Und alles weitere in der Richtung geschieht dann irgendwann in 2026.

[tramp20]

Nochmals 1000 Danke

[oli88]

Hallo zusammen,
danke für eure zahlreichen Beiträge.
Ich habe mich nun auch dran gemacht und mein Glück versucht, zunächst bei meinem Notebook.
1) Power Shell [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' --> True
2) in der Registry Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing -> WindowsUEFICA2023Capable -> steht auf Wert 2
3) die Datei bootmgfw_2023.efi gibt es, liegt aber nicht unter dem genannten Pfad und im Ordner Boot sondern direkt auf C: (ganz unten unter dem Ordner Windows) --> okay oder?
bootmgfw.efi ist im Ordner Boot abgelegt, das müsste das alte Zertifikat sein. hier wurde nichts geändert, hier ist im Zertifizierungspfad immer noch 2011 hinterlegt --> richtig oder?
4) wenn ich dann auf die Eigenschaften und auf Digitale Signaturen gehe, gibt es eingebettete Signaturen und Katalogsignaturen.
Ich markiere die eingebettete Signatur -> Details -> Zertifikat anzeigen -> Zertifizierungspfad -> Microsoft Root Certificate Authority 2010 und darunter eben Windows UEFI CA 2023 --> passt das?
Wenn ich das gleiche in den Katalogsignaturen prüfe, ist dort noch 2011 hinterlegt --> passt das?

5) in der Ereignisanzeige habe ich die letzten Meldungen zu TPM-WMI geprüft:
1. TPM-WMI 1034: Das Update für den sicheren Start von Dbx wurde erfolgreich angewendet
2. TPM-WMI 1799: Boot Manager signed with Windows UEFI CA 2023 was installed successfully
3. TPM-WMI 1042: Secure Boot Dbx update to revoke older Boot Manager SVNs is applied successfully
Passt?

Danke nochmals für eure Hilfe. Wenn das alles soweit passt, versuche ich es mit meinem PC.

[DK2000]

Die bootmgfw_2023.efi liegt auf C:\, weil sie dort hin kopiert wurde. Wenn man das Zertifikat überprüft hat, kann man die wieder löschen.

Die bootmgfw.efi befindet sich im Ordner ~\EFI\Microsoft\Boot\ auf der EFI Systempartition. Dort sollte sich auch durch die Neue Datei mit dem CA 2023 ersetzt werden (Windows UEFI CA 2023). Was bei Dir aber auch geklappt hat.

Nur bei den "Katalogsignaturen" stehe ich da gerade auf dem Schlauch.

Nur das mit der DBX verstehe ich gerade nicht. Macht der das jetzt schon automatisch? Das hatte ich so gar nicht angegeben.

Ergibt das bei Dir hier "True"?

Code: Alles auswählen

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'

Haben die da wieder was geändert? Oder hängt das mit der SVN zusammen? Muss mal nachher testen.

[oli88]

Bei mir befindet sich die bootmgfw.efi (ohne 2023)
unter folgendem Pfad: C:\Windows\Boot\EFI
Wenn ich bei dieser Datei (also ohne 2023) auf die Eigenschaften und auf Digitale Signaturen gehe, gibt es auch hier eingebettete Signaturen und Katalogsignaturen.
Ich markiere die eingebettete Signatur -> Details -> Zertifikat anzeigen -> Zertifizierungspfad -> Microsoft Root Certificate Authority 2010 und darunter eben Microsoft Windows Production PCA 2011.
Was meinst Du mit ersetzt werden? Soll ich die _2023.efi dort reinziehen?
Den Code habe ich im PS eingegeben, es ergibt "False". Soll das so sein?

[oli88]

... habe jetzt nochmals von vorne alle Schritte hintereinander ausgeführt.

Wenn ich nun den Befehl
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011'
in PS eingebe, erscheint 'True'.
Das mit den Katalogsignaturen ist nach wie vor so, aber nur am Notebook. Beim PC habe ich es mittlerweile auch ausprobiert, hier gibt es nur eine Signaturliste und bei der passt es.
In der Ereignisanzeige tauchen nun auch ein paar mehr Einträge unter TPM-WMI:
1042 Die Aktualisierung des sicheren Starts von Dbx zum Widerrufen älterer Start-Manager-SVNs wurde erfolgreich angewendet
1036 Das Update für den sicheren Start von Db wurde erfolgreich angewendet
1037 Das Update für den sicheren Start von Dbx zum Widerrufen von Microsoft Windows Production PCA 2011 wurde erfolgreich angewendet
1799 Der mit Windows UEFI CA 2023 signierte Start-Manager wurde erfolgreich installiert,
Beim Notebook gibt es zusätzlich noch die Meldung 1034: Das Update für den sicheren Start von Dbx wurde erfolgreich angewendet. Aber diese ist schon etwas älter, habe ich gesehen.

Was meint ihr nun, sollte doch nun passen oder?
Hoffentlich.
Gibt es noch eine Möglichkeit, das ganze zu überprüfen? tramp20 hatte doch noch die Möglichkeit einer Abfrage ins Spiel gebracht. \Check-UEFISecureBootVariables-main\Show UEFI PK, KEK, DB and DBX.cmd
Bei mir funktioniert das irgendwie nicht, wahrscheinlich mache ich es falsch.

Danke euch nochmals vielmals und SORRY dass ich zig mal nachfrage, kenne mich nicht so gut aus wie ihr.

[DK2000]

Was mich halt wundert ist die Sache mit der DBX.

"Show UEFI PK, KEK, DB and DBX.cmd". Da sind Leerzeichen im Namen. Das doof. Muss man dann mit "" einschließen. Und in der Konsole mit Adminrechten ausführen. Bei mir funktioniert das in der VM nur sehr eingeschränkt.



Das VirtualBox UEFI ist da irgendwie nicht ganz konform, was das angeht.

[oli88]

Meinst Du, dass es nun bei mir so nicht richtig funktioniert hat? wegen der DBX.

Leider kann ich den Anhang nicht öffnen aufgrund fehlender Rechte. Das mit den "" habe ich nicht verstanden.
Den Befehl so und so eingegeben, leider bin ich dazu zu blöd.

[DK2000]

Hab den Screenshot jetzt mal extern verlinkt. Vergesse da immer, das Gäste gar keine Anhänge sehen können. Sorry.

Ansonsten, die "Show UEFI PK, KEK, DB and DBX.cmd" mit Adminrechten ausführen. Dann ist das uninteressant mit den Leerzeichen im Namen.



Und das Problem mit der DBX und dem gesperrten "Microsoft Windows Production PCA 2011" hat jetzt natürlich die Folge, das nur noch Windows mit dem neuen Zertifikat startet. Auch original Microsoft ISOs würden jetzt nicht mehr booten, da Microsoft bislang den Bootmanager auf dem ISOs nicht aktualisiert hat. Das muss man derzeit auch noch selber machen.

Ältere Backups wären jetzt auch unbrauchbar. An der Stelle also unbedingt ein neues Backup anlegen.

[van Neel]

Ich verstehe zwar nur Bahnhof habe aber immer alle Updates gemacht und jetzt in der Registry nach geschaut und unter:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing)
den Eintrag WindowsUEFICA2023Capable mit dem Wert 0 gefunden.

Die Eingabe von:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’
gab ein false zurück.

AvailableUpdates auf 0x40 zu setzen und der Start von Secure-Boot-Update haben daran nichts geändert.

Dann habe ich auf die Dateien aus "Check-UEFISecureBootVariables-main" zurück gegriffen und dort die reg Datei
Apply DBX update (restart required).reg ausgeführt.

Das hat erstmal geholfen. Nach dem Neustart des Rechners wird WindowsUEFICA2023Capable mit einer 1 gezeigt und
-match ‘Windows UEFI CA 2023’ wird mit true zurück gegeben.

Die Ausgabe von Check UEFI KEK, DB and DBX.cmd ergibt folgendes Bild:

Checking for Administrator permission...
Running as administrator - continuing execution...

10 August 2025
Manufacturer: TULPAR
Model: T7 V20.6
BIOS: American Megatrends International, LLC., N.1.14MON08, N.1.14MON08, ALASKA - 1072009
Windows version: 24H2 (Build 26100.4770)

Secure Boot status: Enabled

Current UEFI KEK
✅ Microsoft Corporation KEK CA 2011 (revoked: False)
❌ Microsoft Corporation KEK 2K CA 2023

Default UEFI KEK
✅ Microsoft Corporation KEK CA 2011 (revoked: False)
❌ Microsoft Corporation KEK 2K CA 2023

Current UEFI DB
✅ Microsoft Windows Production PCA 2011 (revoked: False)
✅ Microsoft Corporation UEFI CA 2011 (revoked: False)
✅ Windows UEFI CA 2023 (revoked: False)
❌ Microsoft UEFI CA 2023
❌ Microsoft Option ROM UEFI CA 2023

Default UEFI DB
✅ Microsoft Windows Production PCA 2011 (revoked: False)
✅ Microsoft Corporation UEFI CA 2011 (revoked: False)
❌ Windows UEFI CA 2023
❌ Microsoft UEFI CA 2023
❌ Microsoft Option ROM UEFI CA 2023

Current UEFI DBX (only the latest one is needed to be secure)
2023-03-14 : SUCCESS: 220 successes detected
2023-05-09 : SUCCESS: 371 successes detected
2025-01-14 (v1.3.1) : SUCCESS: 245 successes detected
2025-06-11 (v1.5.1) : SUCCESS: 430 successes detected

Soweit so gut (hoffe ich). Nach wie vor läuft alles prima.

Allerdings sehe ich im UEFI nur ein aktiviertes Secure Boot mit Factory-Keys.
Kann es sein, dass ich die Windows-Keys nicht brauche?

Oder habe ich das alles sowieso falsch verstanden?

[DK2000]

Du hast halt nur das CA 2023 installiert, aber nicht den Bootmanager aktualisiert. Und nebenbei noch die DBX aktualisiert.

WindowsUEFICA2023Capable=1 : “Windows UEFI CA 2023” certificate is in the DB

Die fehlt halt noch:

Code: Alles auswählen

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Dann wird auch der Boomeranger aktualisiert und WindowsUEFICA2023Capable=2.